Risicoanalyse VIC (Verbijzonderde Interne Controle): kern van effectieve interne beheersing

De risicoanalyse binnen de Verbijzonderde Interne Controle (VIC) vormt het vertrekpunt voor een effectieve interne beheersing. De risicoanalyse bepaalt welke processen worden onderzocht, welke risico’s prioriteit krijgen en hoe diepgaand controles worden uitgevoerd.

Zonder een gestructureerde risicoanalyse bestaat het risico dat controles willekeurig worden ingezet, belangrijke risico’s onopgemerkt blijven en onvoldoende zekerheid wordt verkregen over rechtmatigheid en financiële verantwoording. In dit artikel lees je hoe risicoanalyse binnen de VIC werkt en hoe je risico’s vertaalt naar een onderbouwde controleaanpak.

Waarom risicoanalyse het fundament is van de VIC

Binnen de verbijzonderde interne controle draait alles om focus. Niet elk proces, elke transactie of elke fout heeft dezelfde impact. De risicoanalyse zorgt voor orde, proportionaliteit en prioriteit binnen de VIC.

Voor gemeenten en andere decentrale overheden is dit extra belangrijk doorvanwege:

• complexe regelgeving en wetgevingveranderende wet- en regelgeving;
• grote omvangrijke en complexe financiële stromen
• gevoeligheid voor rechtmatigheid en integriteitpublike verantwoording
• toenemende aandacht van accountant en expliciete verantwoordelijkheid van het college voor de rechtmatigheidsverantwoording

Een goed uitgevoerde risicoanalyse maakt de VIC aantoonbaar onderbouwd en voorkomt zowel ondercontrole als overcontrole.

Wat houdt risicoanalyse  binnen de VIC concreet in?

Risicoanalyse binnen de VIC is het systematisch identificeren, beoordelen en prioriteren van specifieke risico’s die de financiële rapportage, jaarrekening en rechtmatigheidsverantwoording kunnen beïnvloeden.

De analyse richt zich op:

• waar processen kwetsbaar zijn
• waar beheersmaatregelen tekortschieten
• waar afwijkingen of fouten kunnen ontstaan
• waar risico op fraude of non-compliance bestaat
• risico’s op niet-naleving van wet- en regelgeving;

De uitkomst bepaalt de opzet, inrichting en uitvoering van VIC-werkzaamheden

Soorten risico’s binnen de risicoanalyse VIC

Binnen de risicoanalyse onderscheid je doorgaans meerdere risicocategorieën:

Rechtmatigheids- en compliance risico’s

Deze risico’s ontstaan wanneer relevante wet, regelgeving of interne regels niet correct worden toegepast.  Denk aan aanbestedingsregels, subsidievoorwaarden of specifieke uitkeringen binnen het sociaal domein. Deze risico’s hebben directe impact op de rechtmatigheidsverantwoording.

Financiële en rapportagerisico’s

Risico’s die invloed hebben op de juistheid,volledigheid en tijdigheid van financiële administratie en de jaarrekening. Bijvoorbeeld foutieve boekingen of onvolledige transacties.

Proces- en beheersingsrisico’s

Deze risico’s ontstaan door onvoldoende functiescheiding, ontbrekende autorisaties of onduidelijke verantwoordelijkheden. Ze raken direct de kwaliteit van de interne beheersing en vergroten de kans op fouten of afwijkingen.

Risico’s identificeren en beoordelen binnen de VIC

Een effectieve risicoanalyse start met het identificeren van risico’s per proces. Daarbij kijk je niet alleen naar wat er fout kan gaan, maar ook waarom, welke beheersmaatregelen aanwezig zijn en in hoeverre deze maatregelen effectief functioneren

Vervolgens beoordeel je elk risico op:

• kans van optreden
• impact op financiële stromen en rechtmatigheid

Deze beoordeling leidt tot een onderbouwde prioritering van controlewerkzaamheden.

Van risicoanalyse naar controle-aanpak

De kracht van de risicoanalyse zit in de vertaling naar controles. Hoge risico’s vragen om intensief controleren, lage risico’s om monitoring of beperkte toetsing.

 Afhankelijk van het risicoprofiel kunnen onder andere de volgende instrumenten worden ingezet:

• steekproeven op transacties (gegevensgericht)
• data analyse om patronen te herkennen
• Procesgerichte controles
• toetsen van besluitvorming en autorisaties
• beoordelen van de werking van interne beheersmaatregelen en procedures

 Door deze risicogerichte aanpak wordt de inzet van capaciteit efficiënt en proportioneel ingericht.

Rapporteren, monitoren en verbeteren

De risicoanalyse stopt niet na de eerste uitvoering. Bevindingen uit controles, wijzigingen in wetgeving en organisatorische veranderingen kunnen leiden tot een aangepast risicoprofiel.

Regelmatige actualisatie (advies: minimaal jaarlijks) is noodzakelijk om de VIC actueel en effectief te houden. Rapportage aan management en bestuur zorgt voor transparantie en ondersteunt het college bij de onderbouwing van de rechtmatigheidsverantwoording.

Een goed onderbouwde risicoanalyse versterkt bovendien de samenwerking met de externe accountant.

Belangrijkste punten op een rij

• De Risicoanalyse is de basis van de verbijzonderde interne controle (VIC)
• Risico’s worden systematisch geïdentificeerd en beoordeeld op kans en impact.
• Uitkomsten bepalen scope, diepgang en planning van controles
• Richt zich op rechtmatigheid, compliance en financiële rapportage
• De aanpak is risicogericht en proportioneel.

·        Regelmatige actualisatie is noodzakelijk voor een effectieve interne beheersing.

FAQ – Veelgestelde vragen over risicoanalyse binnen de VIC

Disclaimer

De in dit artikel opgenomen informatie is uitsluitend bedoeld ter algemene toelichting op afsluitingsprocessen, rechtmatigheid en interne beheersing. De inhoud vormt geen fiscaal, juridisch, accounting- of ander professioneel advies en kan niet worden aangemerkt als een bindend standpunt. Hoewel we ernaar streven dat de inhoud actueel en correct is, kunnen er geen rechten aan worden ontleend.